2004年10月21日 - 占いやアンケートへ誘導し個人情報を取得
予め断りを入れておくが。
以前出入りしていた掲示板にて、やたらと頻繁に占いやアンケートを紹介する不審な者が居たと思い出して書いた雑文である。
だからこの日記は、特定の占いサイト管理人を指すものではない。
チャットやブログやBBSでよく、占いを紹介する書き込みがある。
「こんなタイプだったよ〜!」と報告が並ぶのを見て、背筋が寒いのだ。
そのような場では本名・生年月日・職業、そして細かいものでは趣味や飼っているペットなどの入力を求められる。
占いやアンケートでは、そのような個人情報を警戒心を感じずに入力する人も多いようだ。
しかしちょっと冷静に考えてもらいたい。
それを紹介したのは、誰なんだ?
そして運営するのは誰なんだ?
もしこれが罠目的であるならば、書き込み時刻からハンドルと特定の個人を結びつけられる。
個人情報を特定され、いきなり職場に訪問されたり、自宅の写真を他人に公開される可能性もある。
もしネット上で占いを試すならば、信頼できる人から紹介してもらったサービスを利用するべきだ。もしくは誰かの紹介を経ずにGoogleか何かで検索して、全くの第三者が運営するサービスを利用したほうがまだ良いだろう。
またそのようなサービスを利用する場合は、名前入力の欄は普段使っているハンドル以外のものを入力するべきである。
そして結果報告を書き込む場合は、細心の注意を払うべきである。これによりハンドルと入力した情報とアクセスログを結びつけられる可能性がある。
多少飛躍しすぎな感はあるが、フリーメールやフリーのWebスペースのアカウントを第三者に乗っ取られる危険性もある。
これらにはユーザー向けに、パスワードリマインダーという機能があるのを知っているだろうか?
これはフリーメールや何かのアカウントを取得した後、万が一パスワードを忘れて問い合わせる場合に管理者から問い合わせられる項目だ。
アカウントのパスワードを取得しようと試みる第三者にとって、多くの情報を得るのは当人を装うための方策である。
誕生日を問い連絡先をその場で入力させるサービス、これは最悪。これはアンケートや占いを装い、簡単に入手できる情報だし、第三者が容易に自身を連絡先として設定できる。
検索エンジンで調べると、郵便番号を入力させるもののあった。これは大まかな住所を把握できれば簡単に推測できる。
占いやアンケート経由でなくても、簡単に取得できる情報もある。
凝ったものとしては母親の旧姓。これは個人情報をある程度まで取得したならば容易に判別できるし、チャットで聞き出すのも簡単。
ペットの名前、これも同じ。
生まれた場所、これも。
理想的なのは、複数の質問項目を経てから、アカウント取得時に登録したメールアドレスへ(古いパスワードを停止した上で)新しい(仮の一時的な)パスワードを連絡し、その後新規にパスワードを設定するように促す方法だ。
これであれば第三者がパスワードを得られる可能性は低くなり、また万が一悪意を持った第三者が当人になりすましても、ログオンできなくなった本当のユーザーがトラブルに気付くチャンスは増える。
(AOLはアメリカ国内でそのような対応をしており、また問い合わせを受けたオペレーターはユーザーの本当の元パスワードを閲覧できない仕組みになっているそうだ)
いきなり元のパスワードを連絡するのは望ましくないし、十分な権限を持たない管理者がそれを閲覧するのも避けるべきだ。
サービスを提供する側の問題もある。
パスワード問い合わせ画面で、元の(もしくは再発行された)パスワードの連絡先をそのつど随時入力させるようなサービスは、利用しない方がいい。
(本当にこのようなものもあるのだ!)
そのような「うかつで天然」な管理人が居るようでは、何があってもまともな対応は期待できない。
(大体連絡先は本当にそのユーザーなのかをどうやって確認する気なんだ?)
サイト管理者は登録された内容か否かを照会するのみではなく、どのようにしてユーザーに連絡するのかまで細かく気を使うべきである。
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2004-10-21 占いサイトやアンケートへ誘導する罠(http://d.hatena.ne.jp/LucaLuca/20041021)を修正・加筆し移転したものです。
以前出入りしていた掲示板にて、やたらと頻繁に占いやアンケートを紹介する不審な者が居たと思い出して書いた雑文である。
だからこの日記は、特定の占いサイト管理人を指すものではない。
チャットやブログやBBSでよく、占いを紹介する書き込みがある。
「こんなタイプだったよ〜!」と報告が並ぶのを見て、背筋が寒いのだ。
そのような場では本名・生年月日・職業、そして細かいものでは趣味や飼っているペットなどの入力を求められる。
占いやアンケートでは、そのような個人情報を警戒心を感じずに入力する人も多いようだ。
しかしちょっと冷静に考えてもらいたい。
それを紹介したのは、誰なんだ?
そして運営するのは誰なんだ?
もしこれが罠目的であるならば、書き込み時刻からハンドルと特定の個人を結びつけられる。
個人情報を特定され、いきなり職場に訪問されたり、自宅の写真を他人に公開される可能性もある。
もしネット上で占いを試すならば、信頼できる人から紹介してもらったサービスを利用するべきだ。もしくは誰かの紹介を経ずにGoogleか何かで検索して、全くの第三者が運営するサービスを利用したほうがまだ良いだろう。
またそのようなサービスを利用する場合は、名前入力の欄は普段使っているハンドル以外のものを入力するべきである。
そして結果報告を書き込む場合は、細心の注意を払うべきである。これによりハンドルと入力した情報とアクセスログを結びつけられる可能性がある。
多少飛躍しすぎな感はあるが、フリーメールやフリーのWebスペースのアカウントを第三者に乗っ取られる危険性もある。
これらにはユーザー向けに、パスワードリマインダーという機能があるのを知っているだろうか?
これはフリーメールや何かのアカウントを取得した後、万が一パスワードを忘れて問い合わせる場合に管理者から問い合わせられる項目だ。
アカウントのパスワードを取得しようと試みる第三者にとって、多くの情報を得るのは当人を装うための方策である。
誕生日を問い連絡先をその場で入力させるサービス、これは最悪。これはアンケートや占いを装い、簡単に入手できる情報だし、第三者が容易に自身を連絡先として設定できる。
検索エンジンで調べると、郵便番号を入力させるもののあった。これは大まかな住所を把握できれば簡単に推測できる。
占いやアンケート経由でなくても、簡単に取得できる情報もある。
凝ったものとしては母親の旧姓。これは個人情報をある程度まで取得したならば容易に判別できるし、チャットで聞き出すのも簡単。
ペットの名前、これも同じ。
生まれた場所、これも。
理想的なのは、複数の質問項目を経てから、アカウント取得時に登録したメールアドレスへ(古いパスワードを停止した上で)新しい(仮の一時的な)パスワードを連絡し、その後新規にパスワードを設定するように促す方法だ。
これであれば第三者がパスワードを得られる可能性は低くなり、また万が一悪意を持った第三者が当人になりすましても、ログオンできなくなった本当のユーザーがトラブルに気付くチャンスは増える。
(AOLはアメリカ国内でそのような対応をしており、また問い合わせを受けたオペレーターはユーザーの本当の元パスワードを閲覧できない仕組みになっているそうだ)
いきなり元のパスワードを連絡するのは望ましくないし、十分な権限を持たない管理者がそれを閲覧するのも避けるべきだ。
サービスを提供する側の問題もある。
パスワード問い合わせ画面で、元の(もしくは再発行された)パスワードの連絡先をそのつど随時入力させるようなサービスは、利用しない方がいい。
(本当にこのようなものもあるのだ!)
そのような「うかつで天然」な管理人が居るようでは、何があってもまともな対応は期待できない。
(大体連絡先は本当にそのユーザーなのかをどうやって確認する気なんだ?)
サイト管理者は登録された内容か否かを照会するのみではなく、どのようにしてユーザーに連絡するのかまで細かく気を使うべきである。
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2004-10-21 占いサイトやアンケートへ誘導する罠(http://d.hatena.ne.jp/LucaLuca/20041021)を修正・加筆し移転したものです。
